不要在网络设备中show算法，赶紧让数据包通过，否则扣留。网络设备永远都是数据包要快速离开的地方，赶紧走，越快越好。

我说这话可 能有点矛盾，快速离开没有可以show的算法怎么能行？！问题是，不该你做的事就别做，你根本就不是一个专业防火墙，干嘛搞什么垃圾iptables！把 你自己能做的工作，做好，show完美，其他的交给行家，交给适合的设备。网络通路中的算法不限于本机，整个路径中的每一个节点之间运行的算法都要紧密配 合，对于网络来讲，整个Internet就是一台计算机，CPU部件就是所有网络设备的组合，IPv4为例，所有的IP地址构成了32位地址空间。

所以说，两者的角色是互相矛盾的，网络的安全性和流畅性不可兼得。如何解决这个问题，找到一个平衡点，是各位IT认识需要思考的问题。